Sdílet prostřednictvím

Konfigurace nastavení senzoru identity v programu Microsoft Defender for Identity

  • Článek

V tomto článku se dozvíte, jak správně nakonfigurovat nastavení senzoru microsoft Defenderu for Identity, aby se začala zobrazovat data. Budete muset provést další konfiguraci a integraci, abyste mohli plně využít možnosti Defenderu for Identity.

Zobrazení a konfigurace nastavení snímačů

Po instalaci senzoru defenderu pro identitu zobrazte a nakonfigurujte nastavení senzoru identity v defenderu:

  1. V XDR v programu Microsoft Defender přejděte do nastavení>snímačů> identit. Příklad:

    Snímek obrazovky se stránkou Senzory

    Na stránce Senzory se zobrazí všechny senzory Defenderu for Identity a zobrazí se následující podrobnosti pro jednotlivé senzory:

    • Název senzoru
    • Členství v doméně snímače
    • Číslo verze snímače
    • Zda by se aktualizace měly zpozdit
    • Stav služby senzoru
    • Stav senzoru
    • Stav senzoru
    • Počet problémů se stavem
    • Po vytvoření senzoru

    Další informace najdete v tématu Podrobnosti o senzoru.

  2. Vyberte Filtry a vyberte filtry , které chcete zobrazit. Příklad:

    Snímek obrazovky s filtry senzorů

  3. Pomocí zobrazených filtrů určete, které senzory se mají zobrazit. Příklad:

    Snímek obrazovky s filtrovaným seznamem senzorů

  4. Výběrem senzoru zobrazíte podokno podrobností s dalšími informacemi o senzoru a jeho stavu. Příklad:

    Snímek obrazovky s podoknem podrobností senzoru

  5. Posuňte se dolů a vyberte Spravovat senzor a zobrazte podokno, ve kterém můžete konfigurovat podrobnosti o senzoru. Příklad:

    Snímek obrazovky s možností Spravovat senzor

  6. Nakonfigurujte následující podrobnosti senzoru:

    Název Popis
    Popis Nepovinné. Zadejte popis senzoru defenderu pro identitu.
    Řadiče domény (FQDN) Vyžaduje se pro samostatné senzory a senzory Defenderu for Identity nainstalované na serverech AD FS / AD CS a nelze je upravit pro senzor defenderu pro identitu.

    Zadejte úplný plně kvalifikovaný název domény řadiče domény a výběrem znaménka plus ho přidejte do seznamu. Například DC1.domain1.test.local.

    Pro všechny servery, které definujete v seznamu Řadičů domény:

    – Všechny řadiče domény, jejichž provoz se monitoruje prostřednictvím zrcadlení portů pomocí samostatného senzoru Defenderu pro identitu, musí být uvedené v seznamu řadičů domény. Pokud řadič domény není uvedený v seznamu Řadičů domény, nemusí detekce podezřelých aktivit fungovat podle očekávání.

    – Alespoň jeden řadič domény v seznamu by měl být globálním katalogem. To umožňuje defenderu for Identity přeložit objekty počítače a uživatele v jiných doménách v doménové struktuře.
    Zachytávání síťových adaptérů Povinný:

    – Pro senzory Defenderu for Identity jsou všechny síťové adaptéry, které se používají ke komunikaci s ostatními počítači ve vaší organizaci.

    – Pro samostatný senzor Defenderu for Identity na vyhrazeném serveru vyberte síťové adaptéry, které jsou nakonfigurované jako cílový zrcadlový port. Tyto síťové adaptéry přijímají zrcadlený provoz řadiče domény.

  7. Na stránce Senzory vyberte Exportovat a vyexportujte seznam senzorů do .csv souboru. Příklad:

    Snímek obrazovky s exportem seznamu senzorů

Ověření instalací

K ověření instalace senzoru identity v Defenderu for Identity použijte následující postupy.

Poznámka:

Pokud instalujete na server SLUŽBY AD FS nebo AD CS, použijete jinou sadu ověření. Další informace najdete v tématu Ověření úspěšného nasazení na serverech AD FS nebo AD CS.

Ověření úspěšného nasazení

Ověření úspěšného nasazení senzoru Defender for Identity:

  1. Zkontrolujte, jestli je na vašem senzorovém počítači spuštěná služba senzoru služby Azure Advanced Threat Protection. Po uložení nastavení snímače identity v Defenderu for Identity může trvat několik sekund, než se služba spustí.

  2. Pokud se služba nespustí, zkontrolujte soubor Microsoft.Tri.sensor-Errors.log , který se ve výchozím nastavení nachází v %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logsumístění , kde <sensor version> je verze, kterou jste nasadili.

Ověření funkčnosti výstrah zabezpečení

Tato část popisuje, jak ověřit, že se výstrahy zabezpečení aktivují podle očekávání.

Při použití příkladů v následujících krocích nezapomeňte nahradit contosodc.contoso.azure plně contoso.azure kvalifikovaný název domény senzoru a názvu domény v programu Defender for Identity.

  1. Na zařízení připojeném k členu otevřete příkazový řádek a zadejte nslookup

  2. Zadejte server plně kvalifikovaný název domény nebo IP adresu řadiče domény, na kterém je nainstalovaný senzor defenderu pro identitu. Příklad: server contosodc.contoso.azure

  3. Zadejte ls -d contoso.azure

  4. Opakujte předchozí dva kroky pro každý senzor, který chcete otestovat.

  5. Přejděte na stránku s podrobnostmi o zařízení počítače, ze které jste spustili test připojení, například ze stránky Zařízení , vyhledáním názvu zařízení nebo odkudkoli na portálu Defender.

  6. Na kartě podrobnosti o zařízení vyberte kartu Časová osa a zobrazte následující aktivitu:

    • Události: Dotazy DNS prováděné se zadaným názvem domény
    • Typ akce MdiDnsQuery

Pokud je řadič domény nebo služba AD FS / AD CS, který testujete, prvním senzorem, který jste nasadili, počkejte aspoň 15 minut, než ověříte jakoukoli logickou aktivitu pro tento řadič domény a umožníte back-endu databáze dokončit počáteční nasazení mikroslužeb.

Ověření nejnovější dostupné verze senzoru

Verze Defenderu for Identity se často aktualizuje. Na stránce Identities> O nastavení>XDR v programu Microsoft Defender vyhledejte nejnovější verzi.

Související obsah

Teď, když jste nakonfigurovali počáteční kroky konfigurace, můžete nakonfigurovat další nastavení. Další informace najdete na některé z níže uvedených stránek:

Další krok

Shromažďování událostí v programu Microsoft Defender for Identity »